關(guān)于防火墻狀態(tài)監(jiān)測(cè)技術(shù)的應(yīng)用

摘要：網(wǎng)絡(luò)的迅速發(fā)展給人類生活帶來了方便，提高了工作效率，豐富了人們的生活，與此同時(shí)給人們帶來了一個(gè)日益嚴(yán)峻的問題——網(wǎng)絡(luò)安全。很多企業(yè)為了保障自身服務(wù)器或數(shù)據(jù)安全都采用了防火墻。由于目前采用的TCP/IP協(xié)議族潛在著安全漏洞以及安全機(jī)制不健全，Internet網(wǎng)上的黑客趁機(jī)而入，非法進(jìn)入企業(yè)的內(nèi)部網(wǎng)并存取、破壞、竊聽數(shù)據(jù)。

關(guān)鍵詞：防火墻；狀態(tài)監(jiān)測(cè)；技術(shù)；應(yīng)用

中圖分類號(hào)：G642.3 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1674-9324（2013）14-0267-02

對(duì)于保證計(jì)算機(jī)網(wǎng)絡(luò)的安全，方法很多，但防火墻技術(shù)絕對(duì)是其中最高效、實(shí)用的方法之一。在構(gòu)建安全的網(wǎng)絡(luò)環(huán)境的過程中，防火墻作為第一道安全防線，正受到越來越多用戶的關(guān)注。目前，防火墻已經(jīng)成為世界上用得最多的網(wǎng)絡(luò)安全產(chǎn)品之一。那么，防火墻是如何保證網(wǎng)絡(luò)系統(tǒng)的安全，又如何實(shí)現(xiàn)自身安全的呢？

一、防火墻在網(wǎng)絡(luò)安全中的重要性

（1）防火墻的主要目的是控制Intranet。與Internet之間的連接，它提供了一種保護(hù)Intranet的安全屏障，防止黑客進(jìn)入內(nèi)部網(wǎng)，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，將“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)，防止他們更改、拷貝、毀壞你的重要信息；能限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作；能根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊。（2）可以強(qiáng)化網(wǎng)絡(luò)安全，通過防火墻的安全方案配置，能將所有安全軟件配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。（3）對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控，防火墻能記錄下訪問并做出日志，同時(shí)提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。

二、如何解決防火墻的配置

1.利用分布式防火墻，分布式防火墻負(fù)責(zé)對(duì)網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點(diǎn)之間的安全防護(hù)，所以“分布式防火墻”是一個(gè)完整的系統(tǒng)，而不是單一的產(chǎn)品。（1）網(wǎng)絡(luò)防火墻用于內(nèi)部網(wǎng)與外部網(wǎng)之間，以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護(hù)。比傳統(tǒng)防火墻多一種用于對(duì)內(nèi)部子網(wǎng)之間的安全防護(hù)層，這樣使整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系就顯得更加全面，更加可靠。（2）主機(jī)防火墻，用于對(duì)網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)。作用是在同一內(nèi)部子網(wǎng)之間的工作站與服務(wù)器之間，以確保內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全。應(yīng)用于內(nèi)部網(wǎng)各子網(wǎng)之間、同一內(nèi)部子網(wǎng)工作站與服務(wù)器之間。比起網(wǎng)絡(luò)層更加徹底。（3）中心管理是新的防火墻的管理功能，也是以前傳統(tǒng)防火墻所不具有的。可以提高防火墻的安全防護(hù)靈活性，具備可管理性。

2.嵌入式防火墻系統(tǒng)，為大量的網(wǎng)絡(luò)用戶及需要保護(hù)的網(wǎng)絡(luò)資源提供了一個(gè)可管理的、分布式的、安全的計(jì)算環(huán)境。它使用了一種簡(jiǎn)化的，基于公鑰的Kerberos協(xié)議以實(shí)現(xiàn)透明的認(rèn)證，并綜合了其它一些網(wǎng)絡(luò)安全技術(shù)，包括授權(quán)、安全數(shù)據(jù)傳輸、審計(jì)等，并提供了一種集中式的管理機(jī)制。（1）其核心系統(tǒng)一般可以包括四個(gè)主要部件：客戶認(rèn)證代理，嵌入式防火墻代理，票據(jù)授予服務(wù)器（TGS）和認(rèn)證服務(wù)器（AS）。（2）客戶登錄系統(tǒng)時(shí)，客戶認(rèn)證代理將提示并獲取相應(yīng)的用戶名和口令。僅當(dāng)客戶同時(shí)具有正確的口令和含有私有密鑰的設(shè)備，客戶代理才能夠進(jìn)行身份認(rèn)證。在用戶登錄完成后，客戶代理將自動(dòng)向AS發(fā)送請(qǐng)求AS_REQ，以申請(qǐng)TGT。認(rèn)證服務(wù)器AS收到客戶的AS_REQ后，發(fā)回應(yīng)答消息AS_REP。（3）客戶認(rèn)證代理得到AS發(fā)回的AS_REP后，進(jìn)行解密，獲取并保存與TGS通信的會(huì)話密鑰及提交給TGS的票據(jù)。（4）TGS在收到客戶認(rèn)證代理發(fā)來的TGS_REQ后，進(jìn)行解密，以獲取客戶與其會(huì)話密鑰，用它來解密認(rèn)證算子，將算得的檢驗(yàn)和與自己生成的HASH函數(shù)結(jié)果相比較，以檢查客戶身份的合法性和消息的完整性。在授權(quán)通過后，TGS生成TGS_REP，并發(fā)回用戶。

三、利用防火墻抵御常見攻擊方式

1.SYN Attack：攻擊者利用偽造的IP地址（不存在或不可到達(dá)的地址）發(fā)送大量的SYN封包至防火墻的某一接口，使防火墻用SYN/ACK封包對(duì)這些地址進(jìn)行響應(yīng)，然后等待響應(yīng)的ACK封包。防火墻設(shè)備對(duì)每秒允許通過防火墻的SYN封包數(shù)加以限制。達(dá)到臨界值，為主機(jī)發(fā)送SYN/ACK響應(yīng)并將未完成的連接存儲(chǔ)在連接隊(duì)列中，未完成的連接保留在隊(duì)列中。

2.ICMP Flood，啟用ICMP泛濫保護(hù)功能時(shí)，可以設(shè)置一個(gè)臨界值，超過了臨界值就會(huì)調(diào)用ICMP泛濫攻擊保護(hù)功能。

3.Port Scan Attack（端口掃描攻擊），一個(gè)源IP地址在定義的時(shí)間間隔內(nèi)向位于相同目標(biāo)IP地址10個(gè)不同的端口發(fā)送IP封包時(shí)，就會(huì)發(fā)生端口掃描攻擊。防火墻設(shè)備在內(nèi)部記錄從某一遠(yuǎn)程源地點(diǎn)掃描不同端口的數(shù)目。防火墻會(huì)將這一情況標(biāo)記為端口掃描攻擊，并在該秒余下的時(shí)間內(nèi)拒絕來自該源地址的其他封包。

4.認(rèn)證機(jī)制系統(tǒng)，實(shí)現(xiàn)高速防火墻，應(yīng)用ASIC硬件加速技術(shù)、FPGA和網(wǎng)絡(luò)處理器。采用網(wǎng)絡(luò)處理器，利用微碼編程，根據(jù)需要隨時(shí)升級(jí)，網(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元，集成更多的網(wǎng)絡(luò)安全功能，防御拒絕服務(wù)攻擊等安全技術(shù)都可以模塊形式安裝到防火墻的機(jī)箱內(nèi)。

四、防火墻的未來發(fā)展

首先防火墻將支持更多的應(yīng)用層協(xié)議。對(duì)應(yīng)用協(xié)議支持的廣度，也是防火墻的發(fā)展趨勢(shì)，它將支持更多新的應(yīng)用協(xié)議，使更多的應(yīng)用程序能和防火墻協(xié)同工作。

總之，防火墻就是保護(hù)網(wǎng)絡(luò)安全最主要的手段之一，通過監(jiān)測(cè)、限制、修改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運(yùn)行情況，以此來實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全保護(hù)。運(yùn)用先進(jìn)認(rèn)證技術(shù)，并在網(wǎng)絡(luò)層上實(shí)施統(tǒng)一的用戶端對(duì)端的數(shù)據(jù)流加密技術(shù)，再結(jié)合目前的防火墻技術(shù)以進(jìn)行必要的內(nèi)容檢測(cè)、攻擊檢測(cè)及其他一些手段，才能解決內(nèi)部網(wǎng)安全問題，并最終提供一套一體化的解決途徑。

參考文獻(xiàn)：

[1]羅港.淺析攻擊防火墻的幾種方法及對(duì)策[J].福建電腦，2007，（7）.

[2]高峰，許南山.防火墻包過濾規(guī)則問題的研究[J].應(yīng)用，2011，23（6）.

[3]趙啟斌，梁京章.防火墻過濾規(guī)則異常的研究[J].工程，2010，（12）.

[4]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)[M].北京：電子工業(yè)出版社，2009.